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PROCEDE ET DISPOSITIF DE LA VERIFICATION DE LA DETENTION D'UNE DONNEE CONFIDENTIELLE 
SANS COMMUNICATION DE CELLE-CI, SELON UN PROCESSUS DIT DE "A DIVULGATION NULLE". 

(57) L'invention permet de proceder a une verification, par 
un verificateur (A, 2), de la detention d'au moins une donnee 
confidentielle (P (X); (X)... P t (X)) par un detenteur presu- 
me (B, 4), sans communication par ce dernier de la donn£e 
confidentielle, conformement & un processus dit de " & divul- 
gation nulle 

Acettefin, il estprevu d'utiliser pour la donn6e confiden- 
tielle au moins un premier polyndme (P (X)), le detenteur 
presume (B, 4) transmettant au verificateur (A, 2) des don- 
n6es (x, y) calcu!6es en utilisant ce polyndme, la verification 
etant etablie sur la base d'une analyse de ces donnees met- 
tant en oeuvre au moins un deuxfeme polyndme (Q (X)) et 
d'un polynome compose Q (P (X)). 
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Procede et dispositif de la verification de la 
detention d'une donnee confident ielle sans 
communication de celle-ci, selon un processus dit de n a 

divulgation nulle", 

L' invention concerne la s£curisation eiectronique 
par code secret, par exemple pour des protocoles 
d' identification. Dans ce cadre, le code secret est 
typiquement attribue a une entity, designee ci-apres 

5 "detenteur", en tant que cle d'acces a une prestation 
d'un fournisseur. Cette cie est soumise h une 
verification par un systeme de securisation lie au 
fournisseur, qui conditionne l'acces a la prestation. 
Le processus de demande d' autorisation s'effectue par 

10 echange eiectronique entre le detenteur presume et le 
fournisseur. 

La figure 1 illustre tres schema tiquement le cas 
general d'un ensemble compose d'une part d'un systeme 
de verification (verif icateur) 2 et d' autre part d'un 

15 detenteur presume 4. Le systeme 2 et le detenteur 
presume communiquent sur une liaison 6 qui peut etre 
locale ou distante (par reseau) , filaire, 
radioelectrique, infrarouge, etc. Dans 1' exemple, le 
d6tenteur presume 4 se trouve §tre materialise par une 

20 carte k puce, le systeme de verification 2 etant un 
terminal avec lecteur de carte. Le code secret 
(designe par le terme "secret" dans ce qui suit) est 
alors contenu au sein d'une memoire de la carte 2. La 
verification de la validite du secret necessite un 

25 echange de messages sur la liaison 6 selon un protocole 
preetabli. La verification peut conditionner l'acces a 
un service ( teiephonique, de reception de television k 
peage, de transaction bancaire ou commerciale) , ou a 
contr61er l'acces & un site, la transmission d'un 

30 dossier medical, 1 ' identification d'une personne, etc. 
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Dans une raise en ceuvre classique, le protocole 
pr^voit la transmission du secret vers le terminal, 
6ventuellement sous forme crypt£e pour 6viter des 
attaques durant l'echange. 
5 Cependant, il existe aussi des protocoles dits de 

"k divulgation nulle" (de l'anglais "z6ro knowledge"), 
bas6s sur le fait qu f il est mathematiquement possible k 
un d^tenteur presume de prouver qu'il possede 
ef f ectivement un secret valable sans pour autant le 

10 communiquer au systeme de verification. II s'agit de 
protocoles de preuve de detection de secret sans 
divulgation ou de protocoles k divulgation nulle, Les 
protocoles Fiat-Shamir, Guillou-Quisquatter , "syndrome 
decoding", "permuted kernels problem", "constrained 

15 linear equations", etc. sont des exemples de tels 
protocoles de a divulgation nulle. Le principe repose 
sur un echange de questions et de reponses, provenant 
respect ivement du systeme de s^curisation 2 et du 
detenteur presume 4. Le protocole d' identification est 

20 de nature asym£trique, en ce sens qu'il fait appel a 
des cles privies et publiques, la cle privee 
constituant le secret detenu au niveau du detenteur 
presume. Puisque le secret n*est jamais r6vel6 durant 
le protocole, il n'y a pas de risque qu'il soit 

25 approprie par un detenteur presume mal intentionn£, ou 
une personne interceptant les messages echang^s en vue 
de pouvoir se presenter comme le detenteur agr66 du 
secret. 

Si ces protocoles permettent une selection de 
30 param^trage, leur conception demeure relat ivement 
fig6e. Ceci est notamment le cas avec le protocole de 
Fiat et Shamir. 

Ainsi, un objet de 1' invention est de pr6voir une 
securisation par verification basee sur un nouveau 
35 protocole de k divulgation nulle, permettant de 
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nombreuses possibilities de mise en oeuvre selon les 
applications envisages. 

Plus particulierement, 1* invention propose, selon 
un premier objet, un procede de verification, par un 
5 verificateur, de la detention d'au moins une donnee 
confidentielle P(X); Pi(X)... P t {X) par un detenteur 
presume, sans communication par ce dernier de la donnee 
confidentielle, conform£ment a un processus dit de n k 
divulgation nulle" , 

10 caract^rise en ce que l'on utilise pour la donnee 

confidentielle au moins un premier polyn6me P(X), le 
detenteur presume transmettant au verificateur des 
donnees calcuiees en utilisant ce polyn6me, la 
verification etant etablie sur la base d'une analyse de 

15 ces donnees mettant en oeuvre au moins un deuxieme 
polyn6me Q(X) et d'un polynome compose S(X) = Q(P(X)), 
celui-ci etant compose du premier polynome P(X) et du 
deuxieme polyn6me Q(X) . 

Avantageusement, a partir : 

20 - du premier polynome, soit P(X) d'une 

variable X, et 

- du deuxieme polyndme, soit Q(X) de la 
variable X, 

on definit un troisidme polynome compost S(X) = 
25 Q(P(X)), 

et on met en oeuvre au moins une sequence 
comprenant les etapes de : 

a) transmission, du detenteur presume au 
verificateur, d'une premiere donnee (x) obtenue a 

30 partir du troisi&me polynome S(X) pour le cas de la 
variable X = r, soit Q(P(r)), ou r est un nombre choisi 
arbitrairement par le detenteur presume ; 

b) transmission en reponse, du verificateur au 
detenteur presume, d f une valeur d* invitation de preuve 

35 (b) , 



2830147 



c) transmission, du detenteur presume au 
verif icateur, d'une deuxi&ne donn£e (y) calcuiee selon 
y = r si la valeur d' invitation de preuve b correspond 
& une premiere valeur et selon y = P(r)si la valeur 

5 d' invitation de preuve correspond a une seconde valeur, 
et 

d) verification, par le verif icateur, que la 
condition S(y) = x est satisfaite si la valeur 
d' invitation de preuve correspond a la premiere valeur, 

10 et que la condition Q(y) = x est satisfaite si la 
valeur d' invitation de preuve correspond & la seconde 
valeur, une verification positive a I'etape d) 
accroissant le degr6 de confiance en la detention 
effective de la donn£e secrete P(X) par le detenteur 

15 presume. 

Le procede peut §tre mis en oeuvre pour une 
verification portant sur une pluralite t de donnees 
conf identielles independantes , chacune definie par un 
premier polynome respectif , ou, a partir : 
20 - des premiers polyn6mes respectif s, soit Pi(X), 

P 2 (X), P 3 (X),..., P t (X) d'une variable X, et 

- du deuxieme polynome, soit Q(X) de la variable 

X, 

on definit un troisieme ensemble de fonctions 
25 Si(X) pour i = 0 a t, soit : S 0 = Q(X), S X (X) = 
Q(Pi(X)), S 2 (X) = Q(Pi(P 2 (X))), S 3 (X) = Q(Pi(P 2 (P3(X)))), 
...S t (X) = Q(Pi(P 2 (P3UPt(X))))), 

et on met en oeuvre au mo ins une sequence 
comprenant les etapes de : 
30 i) transmission, du detenteur presume au 

verif icateur, d'une premiere donnee (x) obtenue h 
partir de la fonction S t (X) pour le cas de la variable 
X = r, soit x = Q(Pi(P 2 (P3(...Pt(r) ) ) ) ) , oix r est une 
valeur aieatoire generee au niveau du detenteur 
35 pr esume ; 
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- ii) transmission, du vtrificateur au detenteur, 
pr£sum£ d'une designation arbitraire ou pas d'une ou 
plusieurs fonction(s) parmi un ensemble de fonctions Ei 
de variable X, soit : 

5 fonction E 0 : Pi (P2 (P3 U(Pt(X) )...)) , 

f onction Ei : P2 (P3 UPt (X) ...) ) , 
fonction E 2 : P3 (...Pt (X) 

fonction E t : X ; 

10 - iii) transmission, du detenteur presume au 

v^rif icateur, d'une deuxieme donnee (yi) calculee selon 
la fonction designee Ei a l'etape prtcedente pour le 
cas de la variable X = r ou d f un nombre correspondant 
de valeurs yi, chacune etant obtenue a partir d'une 

15 fonction designee respective ; et 

- iv) verification, par le verif icateur, que la 
condition Si(yi)= x est satisfaite pour chacune des 
valeurs correspondantes . 

De preference, on r£pete la sequence d'etapes i) 
20 a iv) au moins une fois, une fonction Ei etant designee 
arbitrairement k chaque repetition de sequence, 

Avantageusement, tous les polynomes (P(X), Q(X), 
S(X); Si(X), Ei(X)) sont definis modulo n, ou n est un 
nombre compose dif f icilement factorisable. 
25 La donnee conf identielle peut §tre constitute 

d'un polyn6me P(X) d'ordre 2 (deux) ou suptrieur. 

Le deuxieme polynome (Q(X)) peut §tre un polynome 
d'ordre 2 (deux) ou suptrieur. 

Selon un deuxieme aspect, 1 1 invention concerne un 
30 dispositif de verification specif iquement adapte pour 
realiser le proc£d£ selon le premier objet. 

Selon un troisi&me aspect, 1" invention concerne 
un dispositif detenteur d'au moins une donn6e 
conf identielle specif iquement adapte pour realiser le 
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proc£d£ selon le premier aspect, ce dispositif pouvant 
etre une carte k puce, 

L' invention et les avantages qui en decoulent 
seront mieux compris par la description qui suit des 
5 modes de realisation prefers, donnes purement a titre 
d'exemple non-limitatif , par reference aux dessins en 
annexe, dans lesquels : 

- la figure 1, deja decrite, est un schema 
general simplifie d'un ensemble constitue d'un systeme 

10 de s^curisation et d'un detenteur presume, avec echange 
de donn^es de verification de secret ; 

- la figure 2 est un organigramme du deroulement 
d'un procede de verification entre un terminal et une 
carte selon un protocole de a divulgation nulle 

15 conforme a un premier mode de realisation de 
1 9 invention ; et 

- la figure 3 est un organigramme du deroulement 
d'un procede de verification entre un terminal et une 
carte selon un protocole de a divulgation nulle 

20 conforme k un second mode de realisation de 
1 ' invention. 

La securite du protocole de verification a 
divulgation nulle selon 1' invention repose sur le 
probleme suivant. Soient deux polynomes P(X) et Q(X), 

25 on peut facilement calculer le polynome compose S(X) = 
Q{P(X)). Mais, etant donnes Q(X) et S(X), il est 
difficile trouver P(X. Dans ce qui suit, tous les 
calculs sont realises en arithmetique modulo n, ou n 
est un nombre compose. A titre d'exemple, le nombre n 

30 peut §tre le produit de deux nombres premiers p et q, 
soit n=p.q. Le secret, dont la connaissance est k 
prouver par le detenteur, est le polynome P(X) . 

Dans ce qui suit, on designe par A le detenteur 
du secret P(X) (detenteur presume), et par B le 

35 verificateur du fait que A connaisse ef f ectivement le 
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secret P(X). "A" peut §tre une carte a puce 4 ou 
analogue, et "B n le syst&me de securisation 2, pour 
reprendre 1* exemple de la figure 1. Ainsi, 
conf ormement au protocole n k divulgation nulle", A doit 
5 prouver a B qu'il detient le secret P(X) sans le lui 
reveler. 

La figure 2 illustre un exemple du deroulement 
d'un protocole de verification "k divulgation nulle" 
conforme k 1' invention, applique a l 1 ensemble de la 
10 figure 1. 

Au prealable, le detenteur presume A du secret 
P(X), soit la carte 4, contient dans sa m£moire les 
param&tres suivants : 

- un polyn6me P(X) , qui constitue un parametre 
15 prive, soit le secret. On note que le parametre prive 

qui constitue le secret est le polynome P(X) qui est le 
polyn6me difficile a trouver selon le probleme enonce 
ci-dessus, 

- une fonction polynomiale S(X) definie par : 
20 S(X) = Q(P(X) ) , et 

- un module n dif f icilement f actorisable, par 
exemple de type RSA. 

La fonction S(X) s'obtient directement par calcul 
k partir des polyn6mes P(X) et Q(X) . A titre 
25 illustratif, donne ici seulement pour comprendre ce 
mode de calcul, si Q(X) = aX 2 + bX + c et P(X) = uiX + 
uo, alors : 

S(X)= a(uiX + u 0 ) 2 + b(uiX + u 0 ) + c 

= a(ui 2 X 2 + u 0 2 + 2uiU 0 X) + uibX + u 0 b + c 
30 = aui 2 X 2 + (2auiu 0 + Uib)X + au 0 2 + u 0 b + c 

:= s 2 X 2 + SiX + s 0 
Les coefficients des polyn6mes a, b, c, ul et uO, 
ainsi que s 2 , si et s 0 sont des valeurs connues par la 
carte. Cependant, pour r^duire le nombre d' arguments a 
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stocker, la carte peut ne pas contenir les parametres 
relatifs k Q(X), c ' est-^-dire a, b et c. 

Q(X) et P(X) sont des polynomes en X de degre p 
et q. lis sont r^duits modulo n, c'est-a-dire que 
5 leurs coefficients sont reduits modulo n. A titre 
, d'exemple, 

pour P(X) = Z i=0 k P aiX 1 = a 0 + aiX + a 2 X 2 + a 3 X 3 + 
apX^ , 

P(X) mod n = (2 i=0 a p aiX 1 ) mod n 

10 = S i=0 a p (ai mod n)x\ 

De son cote, le systeme B de verification 
(v^rif icateur) de la connaissance du secret, soit le 
terminal 2, contient dans sa memoire les m§mes 
parametres que ceux stockes par la carte, hormis le 

15 secret P(X), a savoir : Q(X), S(X) = Q(P(X)) et n. 

En debut de protocole, il s'op&re un echange de 
signaux entre le terminal 2 et la carte 4 pour etablir 
1 * initialisation du processus (etape E2) . Durant cette 
phase, une serie de routines est installee pour fixer 

20 les conditions de verification. 

Le processus de verification "a divulgation 
nulle" debute alors par le tirage d , un nombre aleatoire 
r au niveau de la carte 4 (6 tape E4) . Ce nombre r est 
produit par des algorithmes quelconques. A partir de 

25 ce nombre r, la carte calcule une valeur x donnee par 
la fonction S(X) mod n, pour X = r, soit x = Q(P(r)) 
mod n. La carte envoie cette valeur de x au terminal 2 
(etape E8), ou elle y est receptionnee (etape E10) . 

Ensuite, le terminal produit un bit b dit 

30 d ! interrogation ou d 1 invitation de preuve (etape E12). 
Dans I'exemple, les probabilites de b = 1 et b = 0 sont 
egales. Ce bit b est transmis k la carte (etape E14) , 
ou elle constitue la partie "question" selon Inspect 
question-reponse du protocole a divulgation nulle. 
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La carte receptionne le bit b (etape E16) et 
produit en reponse une valeur y en fonction de la 
valeur de ce bit, comme suit (etape E18) : 

- si b = 0, y = r ; 

5 - si b = 1, y = P(r), c'est-a-dire la valeur 

rendue par le polynSme secret P(X) pour X = r. 

Ensuite, la carte 4 envoie la valeur y au 
terminal 2 (etape E20) , ou elle est y r6ceptionn6e 
(6 tape E22) . La valeur de b conditionne la nature de 
10 la verification effectu^e par le terminal 2, comme suit 
(etape E24) : 

- si b = 0, le terminal verifie que S(y) = 
Q(P(y)) = x ; 

- si b = 1, le terminal verifie que Q(y) = x. Les 
15 etapes pr^cedantes impliquees dans les trois series 

d'echanges, en commengant par 1 ' etape E4 de generation 
d'un nombre aieatoire, doivent §tre iterees plusieurs 
fois afin de garantir un degre de confiance suffisant, 
chaque nouvelle iteration permettant de se rapprocher 

20 du niveau de confiance souhaite. 

En revanche, il suffit qu'une seule instance de 
la verification a 1' etape E24 soit non satisfaite pour 
permettre de constater que la carte 2 ne detient pas le 
secret P(X) . Dans le cas d'un tel constat, le terminal 

25 initie une routine d' interruption de la procedure de 
verification pour cause d'echec, et declenche une 
alerte adapt^e aux circonstances (etape E26) . 

Lorsque la condition a verifier satisfaite a 
1' etape E24, la procedure entarae une iteration du 

30 processus a partir de 1* etape E4 afin de pouvoir 
renforcer le degre de confiance. 

Le protocole de verification conforme a 
1 ' invention est tres stir, permettant d'obtenir des 
degres de confiance C arbitral rement proches del. En 

35 effet, a supposer que les polynSmes P(X) et Q(X) soient 
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bien choisis, pour S(X) = Q(P(X)) donne modulo n, le 
probleme de retrouver P(X) a partir de S(X) et de Q(X) 
est suppose difficile. 

II n'existe pas de regies g<§n6rales de selection 
5 des polynomes P(X) et Q(X) . On choisira de mani£re 
empirique des polynomes qui soient suffisamment 
complexes pour ne pas permettre de deduire ais£ment la 
valeur du secret. Avantageusement , au mo ins l'un de 
ces polyn6mes doit §tre de degre 2 ou superieur. 

10 L 1 utilisation du modulus n pour exprimer x 

implique que tous les coefficients des polyn6mes 
doivent §tre reduits par ce modulus, ce qui renforce la 
difficult^ du probleme de trouver P(X) h partir de 
Q(P(X) ) et de S(X) . 

15 A titre indicatif, d'excellents resultats sont 

obtenus en termes de s£curite et de consommation de 
ressources avec le choix suivant de polyn6mes : 

P(X) = u 2 X 2 + u x X + u 0 , et Q(X) = aX 2 + bX + c 
S(X) = c 4 X 4 + C 3 X 3 + c 2 X 2 + ciX + c 0 , ou les coefficients 

20 a, b, c et c 4 , c 3 , c 2 , Ci et c 0 sont connus. 

Le probleme de trouver P(X) k partir de Q(X) et 
de S(X) est alors Equivalent a determiner une racine 
carr£e en modulo n. 

II sera maintenant decrit une generalisation du 

25 mode de realisation selon laquelle on utilise un nombre 
arbitraire t de cles privees. Cette disposition permet 
notamment de r6duire le nombre d'^changes entre le 
fournisseur (terminal 2) et le d^tenteur presume (carte 
4), notamment en s ' af f ranchissant des iterations 

30 pr^citees, ou tout au moins en reduisant leur nombre. 
L'approche consiste & utiliser dans le processus de 
verification plusieurs cl^s publiques et un nombre 
correspondant de cles privies, stockees respectivement 
au niveau du terminal 2 et de la carte 4. Cette 

35 approche Sanscrit dans un cadre general de mise en 
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oeuvre, avec utilisation d'un nombre t de cl6s priv^s 
Pi (X) , P 2 (X) , P 3 (X) , P t (X) associees a t cles 

publiques respectives, celles-ci etant : 

Si(X) = Q(P x (X)) t 
5 S 2 (X) = Q(Pi(P 2 (X)))), 

S 3 (X) = Q(Pi(P 2 (P 3 (X)))) 

S t (X) = Q(Pi(P 2 (P3(...Pt(X))))) . 

Dans ce qui suit, tous les polyn6mes sont r^duits 
10 modulo n, comme dans le cas precedent ; ce fait ne sera 
pas repute syst&natiquement par souci de concision. 

Lors d'une verification, le terminal 2 et la 
carte 4 entament un processus d'echange de donn^es 
pr^liminaires pour 1 1 initialisation du protocole (dtape 
15 E2), a l'instar du mode de realisation de la figure 2, 

Ensuite, la carte 4 produit un nombre al£atoire r 
(etape E4), calcule a partir de ce nombre une valeur x 
= Q(Pi(P 2 (Pa U(P t (r) )))...) (etape E30), et la transmet au 
terminal 2 (etape E32) . 
20 En r^ponse, le terminal produit un nombre 

aleatoire b dans un domaine d ! 6quiprobabilite Oat 
compris (etape E34) et le transmet a la carte 4 (£tape 
E36). 

En fonction du nombre b, la carte calcule la 
25 valeur yi, select ionn^e selon la valeur de b, (etape 
E38) . 

Plus particulierement, la valeur yi est 
determine comme suit : 

si b = 0, y 0 = Pi(P 2 <P3U(Pt(r)..J)), 
30 si b = 1, Yl = P 2 (P 3 U(P t (r)...)), 

si b = 2, y 2 = P 3 U(P t (r)-), 
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On remarque que les r^ponses yi de la carte en 
fonction de la valeur de b envoye par le terminal sont 
bashes sur les cl£s publiques 

Si(X), S 2 <X), S 3 (X), S4(X) St(X) 

5 La valeur yi requise ainsi calcuiee est transmise 

au terminal (etape E40) . 

A la reception de cette valeur yi, le terminal 
proc£de a une verification en fonction de la valeur de 
b (etape E42) : 
10 si b = 0, verification de la condition Q(y 0 ) = x 

si b = 1, verification de la condition Si(yi) = x 

si b = 2, verification de la condition S 2 (Y2) = x 

15 si b = t, verification de la condition S t (y t ) = x 

Si la condition a verifier a 1' etape E42 est 
satisfaite, on peut supposer (etape E44) avec un 
certain degre de confiance que le detenteur presume a 
prouve qu'il detient le secret. Dans le cas contraire, 

20 on suppose que la preuve demandee n'a pas ete fournie 
pour des raisons suspectes, et la communication avec la 
carte 4 est interrompue, eventuellement accompagne 
d'une procedure d'alerte. 

Si le nombre t de cies utilisees dans la 

25 procedure ne permet pas d'obtenir un degre de confiance 
suffisant, il est bien entendu envisageable de realiser 
une ou plusieurs iterations & partir de 1' etape E4 . 

Selon une variante du mode de realisation de la 
figure 3, le terminal 2 transmet a 1' etape E36 non pas 

30 une, mais plusieurs valeurs de b, chacune choisie de 
mani^re aieatoire. 

La carte 4 calcule alors a 1 1 etape E38 une valeur 
yi en fonction de chacune des valeurs de b regues, sur 
les m§mes bases que pour le calcul de yi decrit par 

35 reference a la figure 3, et les transmet au terminal. 
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Le terminal analyse chacune des valeurs yi ainsi 
regues pour determiner si elles satisfont les 
conditions enoncdes supra dans le cadre de 1 1 etape E42 . 

On comprendra que cette variante permet a la 
carte de detenir plusieurs secrets. Le terminal peut 
alors verifier la connaissance de ces secrets en une 
seule serie d' operations, par exemple, lors d'une 
verification simultan^e de plusieurs mots de passe ou 
de codes d 1 authentif ication, 

L ' invention n l est pas limitee aux cartes ou & des 
dispositifs portatifs, trouvant application dans tout 
systeme de communication faisant appel a une 
identification confidentiel : verification de mot passe 
entre un utilisateur et son ordinateur, son v£hicule, 
materiel prof essionnel, telephone mobile, ou autre 
eguipement personnalise, etc. 
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REVENDI CATIONS 

1. Procede de verification, par un v^rificateur 
(B,2) , de la detention d'au moins une donn£e 
confidentielle (P(X); Pi(X)„. P t (X)) par un ddtenteur 
pr6sum6 (A,4)), sans communication par ce dernier de la 
donn^e confidentielle, conformement a un processus dit 
de M a divulgation nulle", 

caracteris6 en ce que l'on utilise pour la donn£e 
confidentielle au moins un premier polyndme (P(X)) / le 
detenteur presume (A, 4)) transmettant au v^rificateur 
(B,2) des donn£es (x, y; yi) calcul^es en utilisant ce 
polynome, la verification 6tant etablie sur la base 
d'une analyse de ces donnees mettant en oeuvre au moins 
un deuxieme polyn6me Q(X) et d'un polyn6me compost S(X) 
= Q(P(X)), celui-ci etant compost du premier polynome 
P(X) et du deuxieme polynome Q(X) . 

2. Proc£d6 selon la revendication 1, caract^rise 
en ce que, & partir : 

- dudit premier polynome, soit P(X) d'une 
20 variable X, et 

- dudit deuxieme polynome, soit Q(X) de la 
variable X, 

on d6finit un troisieme polynSme compost S(X) = 
Q(P(X) ) , 

25 et en ce qu'il met en ceuvre au moins une sequence 

comprenant les Stapes de : 

a) transmission, du detenteur presume (A, 4) au 

ve§rificateur (B,2), d'une premiere donnde (x) obtenue k 

partir dudit troisieme polynome S(X) pour le cas de la 
30 variable X = r, soit Q(P(r)), ou r est un nombre choisi 

arbitrairement par le detenteur pr£sum6 ; 
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b) transmission en reponse, du v£rif icateur (B,2) 
au detenteur presume, d'une valeur d' invitation de 
preuve (b) , 

c) transmission, du detenteur presume au 
verif icateur, d ! une deuxieme donn^e (y) calculee selon 
y = r si la valeur d 1 invitation de preuve b correspond 
a une premiere valeur et selon y = P(r)si la valeur 
d' invitation de preuve correspond a une seconde valeur, 
et 

d) verification, par le verif icateur, que la 
condition S (y) = x est satisf aite si la valeur 
d' invitation de preuve correspond a la premiere valeur, 
et que la condition Q(y) = x est satisf aite si la 
valeur d' invitation de preuve correspond a la seconde 
valeur, une verification positive a l'etape d) 
accroissant le degr£ de confiance en la detention 
effective de la donnee secrete P(X) par le detenteur 
presume (A, 4) ♦ 

3. Precede selon la revendication 1, caracterise 
en ce qu ! il est mis en oeuvre pour une verification 
portant sur une pluralite t de donnees conf identielles 
independantes , chacune definie par un premier polyn6me 
respectif , caracterise en ce que, a partir : 

- desdits premiers polynomes respectif s, soit 
Pi(X), P 2 (X), P 3 (X),..., P t (X) d'une variable X, et 

dudit deuxieme polynome, soit Q(X) de la 
variable X, 

on definit un troisieme ensemble de fonctions 
Si(X) pour i = 0 a t, soit : S 0 = Q(X), S X (X) = 
Q(Pi(X>), S 2 (X) = Q(Pi(P 2 (X))), S 3 (X) = Q(Pi(P 2 (P 3 (X)))), 
~S t (X) = Q(Pi(P 2 (P3(...Pt(X))))), 

et ce que I'on met en oeuvre au moins une sequence 
comprenant les etapes de : 
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- i) transmission, du d£tenteur presume (A, 4) au 
verificateur (3,2), d'une premiere donnee (x) obtenue a 
partir de la fonction S t (X) pour le cas de la variable 
X = r, soit x = Q(Pi(P 2 (P3(~Pt(r))))), ou r est une 

5 valeur aldatoire gen^ree au niveau du d^tenteur presume 
(B,4) ; 

- ii) transmission, du verificateur au detenteur, 
presume d'une designation arbitraire ou pas d'une ou 
plusieurs fonction (s) parmi un ensemble de fonctions Ei 

10 de variable X, soit : 

fonction E 0 : Pi (P2 (P3 U (Pt (X) )...)) , 
fonction Ei : P2 (P3 (...Pt (X)...) ) , 
fonction E 2 : P3 (...Pt (X) ...) 

15 fonction E t : X ; 

- iii) transmission, du detenteur presume au 
verificateur, d'une deuxi^me donnee (yi) calculee selon 
la fonction designee Ei & l'etape pr^cedante pour le 
cas de la variable X = r ou d'un nombre correspondant 

20 de valeur s yi, chacune etant obtenue a partir d'une 
fonction designee respective ; et 

- iv) verification, par le verificateur, que la 
condition Si(yi)= x est satisfaite pour chacune 
desdites valeurs correspondantes . 

25 

4. Precede selon la revendication 3, caracterise 
en ce que ladite sequence d' Stapes i) k iv) est repetee 
au moins une fois, une fonction Ei etant designee 
arbitrairement a chaque repetition de sequence. 

30 

5. Procede selon l'une quelconque des 
revendications 1 a 4, caracterise en ce que tous les 
polyn6mes (P(X), Q(X), S(X); Si(X), Ei(X)) sont definis 
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modulo n, ou n est un nombre compose dif f icilement 
factorisable. 

6. Proc6d6 selon l'une quelconque des 
5 revendications 1 & 5, caracterise en ce que la donnee 

confidentielle est constitute d'un polynome P(X) 
d'ordre 2 (deux) ou super ieur. 

7. Procede selon l'une quelconque des 
10 revendications 1 a 6, caracterise en ce que ledit 

deuxi£me polynome (Q(X)) et un polynome d'ordre 2 
(deux) ou super ieur. 

8. Dispositif de verification (B,2) permettant 
15 de verifier la detention d' au moins une donnee 

confidentielle (P(X), Pi(X), P t (X) par un 

dttenteur presume (A, 4), sans communication par ce 
dernier de la donnee confidentielle, conf ormement a un 
processus dit de « divulgation nulle » 
20 caracterise en ce qu' il est prevu pour realiser 

le procede de verification selon l'une quelconque des 
revendications 1 a 7, le dispositif (B,2) comportant : 

- des moyens de reception desdites donnees (x, y, 
y ± ) calculees par le dttenteur presume (A, 4) , 

25 - des moyens de stockage dudit polynome compost 

S(X) = Q(P(X)), et 

- des moyens d' analyse desdites donnees regues 
mettant en oeuvre ledit polynome compose 
(S(X) = Q(P(X)) . 

30 

9. Dispositif (A, 4) detenteur d'au moins une 
donn6e confidentielle sujette a une verification par un 
verificateur (B,2) sans qu'elle soit communiquee a ce 
dernier, conf ormement a un processus dit de 

35 « divulgation nulle », 
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caracteris6 en ce qu'il est prevu pour r6aliser 
le proced6 de verification selon l'une quelconque des 
revendications 1 a 7, le dispositif (A, 4 ) comportant : 

- des moyens de stockage dudit premier polynome 
5 P(X), et 

- des moyens de calcul mettant en oeuvre ledit 
premier polynome pour produire lesdites donn6es 
calculees (x, y, y ± ) , et 

- des moyens de transmission desdites donnfees 
10 calcul§es au verificateur (B,2). 

10. Dispositif selon la revendication 9, 

caracterise en ce qu f il s'agit d'une carte £ puce (4). 
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